La Cnil met en demeure la société Francetest de sécuriser dans un délai de deux mois les données de santé qu’elle collecte pour le compte des pharmacies à l’occasion de tests de dépistage à la Covid-19.Le 27 août 2021, la Commission nationale de l'informatique et des libertés (Cnil) a reçu un signalement anonyme indiquant l’existence d’une violation de sécurité affectant francetest.fr, un site web privé qui collecte, pour le compte de centaines de pharmacies, des données de santé des patients effectuant des tests antigéniques au SARS-CoV-2, afin de faciliter la transmission des données vers la plateforme SI-DEP (Système d'Informations de DEPistage).
La base de données exposée concernait 386.970 personnes uniques et comportait leur nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale (NIR).
Les contrôles effectués par la Cnil ont permis de constater que si la société a pris certaines mesures pour remédier à la vulnérabilité à l’origine de la violation de données, le service présente toujours plusieurs insuffisances en matière de sécurité de données : les données sont hébergées chez un prestataire ne disposant pas d’un agrément HDS (hébergement de données de santé), les processus d’authentification ne sont pas assez robustes, les procédés cryptologiques employés sont faibles et la journalisation (enregistrement des actions des personnes accédant à l’outil) des activités des serveurs est lacunaire.
En conséquence, par sa décision n° MED-2021-093 du 4 octobre 2021, rendue publique le 14 octobre 2021, la Cnil met la société en demeure de prendre toutes les mesures nécessaires pour garantir la sécurité des données de santé qu’elle traite. La société dispose d’un délai de deux mois pour faire le nécessaire.